工場DX時代のセキュリティ強化 経済産業省ガイドライン解説
3行でわかる記事のサマリ
- 工場のデジタルトランスフォーメーション(DX)が進む中で、工場システムのセキュリティ対策が重要な課題となっている。
- この課題に対応するために、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を経済産業省が発行した。
- 工場DXを進めている企業は、このガイドラインを参考にすることで、工場のセキュリティ対策において取り組むべき内容や順序を判断することができる。
はじめに
近年、設備へのIoTセンサ取り付けや、生産データの利活用など、工場のデジタルトランスフォーメーション (工場DX) が急速に進んでいます。工場DXが進んでいく中で、工場システム(OTシステム)がITシステムやインターネットと接続する機会も増えてきています。工場DXの成果として、設備の予防保全や生産コストの縮小など大きな成果が出ている一方、工場のセキュリティ対策が重要な課題となっています。
目次
- 工場DXとセキュリティ
- 経産省発行の工場セキュリティガイドラインとは?
- ガイドライン各ステップの解説
・ステップ1: 内外要件や業務、保護対象の整理
・ステップ2:ステップ1で収集・整理した情報に基づいた、セキュリティ対策方針の策定
・ステップ3:ステップ2で策定した対策の実行と、セキュリティ対策のPDCAサイクルについて - まとめ
工場DXとセキュリティ
工場のセキュリティ対策が重要な課題となっている理由は、工場システム(OTシステム)は単独稼働が前提の設計になっており、十分なセキュリティ対策がされていない場合が多いためです。ITシステム側で十分な対策を行っていたとしても、OTシステム側の対策が不十分な場合、攻撃者に侵入されるリスクや、侵入後の攻撃のリスクが残ってしまいます。
弊社では、継続的な標的型攻撃の調査を実施していますが、近年は、製造業への攻撃も多く観測されています。
図1 Macnica セキュリティ研究センターによる2022年度の標的型攻撃観測結果
出典:マクニカ 標的型攻撃の実態と対策アプローチ 第7版 2022年度
https://www.macnica.co.jp/business/security/security-reports/143962/
経産省発行の工場セキュリティガイドラインとは?
このような背景を受けて、経済産業省は"工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン"を発行し、企業や業界団体に対してセキュリティ対策の強化を呼びかけています。
本ガイドラインでは、「複数の工場拠点を持ち、工場DXのために各拠点からデータを収集している」といったリアルな例を想定することで、工場システムが取るべきセキュリティ対策が具体的に示されています。
図2 ガイドライン想定企業のNW図
出典:「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(経済産業省)
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
ガイドライン各ステップの解説
ガイドラインでは工場システムのセキュリティ対策について、3つのステップが示されています。
- ステップ1:セキュリティ対策を実施する為に必要な情報と整理について
- ステップ2:ステップ1で収集・整理した情報に基づいた、セキュリティ対策方針の策定
- ステップ3:ステップ2で策定した対策の実行と、セキュリティ対策のPDCAサイクルについて
ステップ1: 内外要件や業務、保護対象の整理
本ステップでは、工場システムのセキュリティを検討する上で、実施する内容を妥当なものとするために必要な情報を収集、整理します。収集が必要な情報にはまず、経営目標と外部要件・内部要件があります。
次に、業務内容・保護対象についても情報を収集します。
そして、業務内容・保護対象について、業界や個社の置かれた環境に応じて、重要度を整理します。
図3 業務内容の重要度の整理
出典:「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(経済産業省)
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
工場システムへのセキュリティ対策は、投資コスト・運用コストの視点から現実的である必要があります。対策の優先度を定めるためにも、重要度の設定が必要です。
また、整理した重要度から同等の水準のセキュリティ対策が求められる領域をゾーンとして設定します。
図4 ゾーンの整理
出典:「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(経済産業省)
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
工場システムは構成要素が頻繁に変化する為、継続的な情報収集には、自動化ツール等を活用しながら、効率的に実施することが求められます。
ステップ2: セキュリティ対策の立案
ステップ2のセキュリティ対策の立案では、方針の策定と、脅威に対するセキュリティ対策の対応づけを実施します。ステップ1で収集・整理した情報に基づいて優先度付けを行い、対策の費用効果等も勘案しながら、必要な対策を方針します。
対策には、「システム構成面での対策」と「物理面での対策」があります。
「システム構成面での対策」は、「侵入防止」「活動抑止」「運用支援」という3つの観点を考慮して、ネットワークや機器への具体的な対策を検討します。たとえば、以下のような目的を整理し、表3のような対策をとることが考えられます。
- 不正な装置・機器が接続されないこと
- 他のネットワークから不正なデータやプログラムが流入してこないこと
- 想定外・異常通信が発生していないこと
- 機器に不正なプログラムなどを設置・導入させないこと
- 機器内で不正なプログラムやコマンドの実行させないこと
表3 セキュリティ対策
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(経済産業省)
をもとに弊社作成
物理面での対策は、生産設備・制御システム等を建物の構造、防火・防水の強化や、電源設備・制御システムの施錠管理、入退室管理、バックアップなどがあげられます。
ステップ3: セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCAサイクルの実施)
ステップ3では、ステップ2で立案したセキュリティ対策を実行するとともに、計画・対策・運用体制を不断に見直すことで、工場システムのセキュリティレベルを維持・向上させます。セキュリティ対策の実行だけでは、工場システムのセキュリティレベルを維持することはできません。セキュリティ環境や工場システムの状況は常に変化するため、計画・対策・運用体制を不断に見直すことで、セキュリティレベルを向上させる必要があります。このためには、PDCAサイクルを実施し、不断の見直しが必要です。
まとめ
工場DXが進む中で、工場システムのセキュリティ対策は重要な課題となっています。経済産業省が発行したガイドラインは、工場DXを進めている企業が、どのようにセキュリティ対策を進めていくべきかについての手引きとなっています。このガイドラインを参考に、各企業が自社の状況に合わせたセキュリティ対策を進めていくことが求められています。
マクニカでは、機器やネットワークのセキュリティ対策状況を確認できるデバイスアセスメントサービスも実施しております。
また、工場セキュリティガイドラインへの準拠状況を、ヒアリングベースで確認できるアセスメントサービスも実施しています。
一般的には、回答が難しい抽象度の高い確認項目も弊社ナレッジにて回答可能な項目に変換されています。
そのため、今後の対策方針・優先順位の整理にお役立ていただけます。
ご興味のある方は、以下よりお気軽にお問い合わせください。
▼デバイスアセスメントサービスについて
https://www.macnica.co.jp/business/iot_security/manufacturers/forescout/device_assessment_service.html